Le trafic HTTP EST généralement du trafic TCP; ce n'est pas comme si HTTP et TCP étaient dans la même couche réseau. La colonne Protocole montre simplement la couche de protocole la plus élevée que Wireshark comprend; si un paquet TCP a juste un ACK et aucune donnée, ou que Wireshark ne sait pas comment disséquer les données, il le montrera comme TCP, mais s'il sait comment le disséquer, il montrera ce protocole.
D'accord, cela fonctionne, mais il affiche les champs http et ssdp, ce qui est étrange. Quand j'ai essayé de taper juste "ssdp", il a dit qu'aucun tel protocole n'existe.
sashoalm
Quelle version de Wirehark utilisez-vous? Le wiki Wireshark dit que vous ne pouvez pas filtrer pour SSDP . Solution de contournementudp.dstport == 1900 && http
nixda,
Version 1.8.2. De plus, lorsque j'ai tapé "tcp" pour le filtre, il montrait les champs TCP, TLSv1.1 et HTTP.
sashoalm
Si vous tapez "tcp" comme filtre, il affichera tout le trafic TCP, qu'il s'agisse de HTTP s'exécutant sur TCP, SSL / TLS s'exécutant sur TCP ou autre chose s'exécutant sur TCP.
Réponses:
Dans le champ de filtre, tapez
http
(en minuscules!). Testé avec WireShark Portable 1.10.7Quelques filtres de base
!http
affiche tout le trafic qui n'est PAS httpip.src != 196.168.1.1
affiche le trafic qui ne provient PAS de cette source IPip.dst == 196.168.1.1
affiche le trafic vers cette destination IPip.addr == 196.168.1.1
affiche tout le trafic qui a l'IP spécifique comme source OU destinationla source
udp.dstport == 1900 && http
Pour exclure SSDP / UDP:
http && tcp
Crédit: http://www.emtek.net.nz/blog/2013/03/17/wireshark-filter-http-only-exclude-ssdp-or-udp/
la source
Si vous souhaitez filtrer "adresse IP" et par exemple "protocole http", vous devez saisir:
sans espaces entre.
la source